Evernote mit Sicherheitsproblem

2. März 2013 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Viele Leser berichten mir gerade, dass sie gezwungen worden sind, ihr Evernote-Passwort zu ändern. Mein Test-Account war auch betroffen. Der Client öffnete sich und teilte mir mit, dass mein Passwort geändert wurde und ich dieses eingeben solle, um mich wieder einzuloggen. Nachdem ich hektisch versuchte, mich über die Webseite einzuloggen (mit meinem alten Passwort), wurde ich gezwungen, ein neues Passwort zu vergeben.

evernote-logo

Ich schaute mich ein wenig um und fand heraus, dass Evernote diese Änderung kurzfristig bekannt gab. Man habe Einbrüche in das Netzwerk festgestellt. Aus Sicherheitsgründen hat man alle Passwörter zurück gesetzt, Daten sollen nicht verloren gegangen worden sein. Man gibt aber zu, dass die Angreifer Zugang zu euren Benutzernamen und E-Mail-Adressen hatten. Man teilte nicht mit, wie viele Adressen entwendet wurden, unter Umständen droht nun eine Spamwelle, wie es nach dem Sicherheitsproblem mit Dropbox der Fall war. Also Freunde – Passwort ändern, möglichst was Sicheres!

»

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 15509 Artikel geschrieben.


46 Kommentare

Chriz 2. März 2013 um 17:18 Uhr

Jep, bei mir auch.

Tony 2. März 2013 um 17:18 Uhr

oh nö…mein passwort für evernote steht doch nur in …evernote :D

vossi__ 2. März 2013 um 17:18 Uhr

Das erklärt die ganzen Scam Paypal Mails die ich die letzten paar Tage erhalten habe …

theCed7 2. März 2013 um 17:20 Uhr

Wurden die Passwörter den Angreifern auch sichtbar, oder nur die mail-Adressen?

JSG 2. März 2013 um 17:21 Uhr

Keine Mailbenachrichtigung an die Kunden??

Dann ist es hoffentlich wirklich nur bei der Mailadresse geblieben, sonst wäre das schon ziemlich frech… Und was Spam betrifft, da spielen ein paar mehr Mails dank GMail zum Glück kaum eine Rolle – wie reich ich doch schon wäre, wenn ich die Mails immer schön öffnen und befolgen würde!! ;-)

Michael 2. März 2013 um 17:31 Uhr

Und warum muss ich sowas aus einem Blog erfahren und nicht vom Betreiber?

grenzreiter 2. März 2013 um 17:55 Uhr

Hab mich schon gewundert…

Enno 2. März 2013 um 18:18 Uhr

Wer weiß, ob die Benachrichtigung an die Kunden nicht noch raus geht. Was ist euch lieber? Schnell Bescheid zu wissen, dass ein Fehler da ist, oder den Fehler erstmal korrigieren lassen und im nachhinein erfahren, was los war?

@theCed7 da Evernote ein recht fetter Dienst ist, kannst du davon ausgehen, dass die Passwörter nicht im Klartext gespeichert werden. Von daher: nein. Das verhindert aber nicht, dass “schlechte” Passwörter trotzdem herausgefunden werden könnten (kommt drauf an, wie in der DB gehasht und gesaltet wurde und und und). Das bringt den Hackern für Dein Evernote-Konto nichts, allerdings solltest du schauen, ob du das Evernote-Passwort auch bei anderen Diensten mit demselben Benutzernamen bzw. derselben Mail-Addi benutzt hast. Falls ja, besser ändern. Und besser bei allen Diensten ein einmaliges Passwort verwenden. Macht sich am besten mit 1Password, LastPass, KeePassX etc.

Enno 2. März 2013 um 18:20 Uhr

Danke @Blubb für das Obsoletmachen meines Kommentars :D

@dr3do 2. März 2013 um 18:42 Uhr

Und bevor die sich Andoid-User “vorschnell” in der Evernote-App abmelden (und damit den kompletten Evernote-Cache löschen), erst mal Update machen. Evernote hat gleich eine neue Version rausgebracht, die auf den erzwungene reagiert. Das spart Bandbreite, wenn man a) ein größeres Evernote-Archiv hat und/oder b) gerade nur einen limitierten Datenplan zur Verfügung hat. #HTH

Frank 2. März 2013 um 18:44 Uhr

Ging vorgestern schon mit dem Update auf dem iPhone los – Evernote stürzte auf dem iPhone ständig ab – iPad lief aber. Heute kam ein Update für das iPhone und dies ging erst wieder, nachdem ich das Passwort gewechselt habe. Ging mir genau wie Caschy – habe es über die Internetseite geändert.
Will hoffen, dass der Spam wirklich ausbleibt… – trotzdem – es ist sicherlich kein Fehler ein Passwort auch mal zu wechseln – sind wir nicht alle “Gewohnheitsmenschen”….?

Nico 2. März 2013 um 19:10 Uhr

Hab mich schon gewundert. Mit deinem Beitrag warst du ja echt schnell ;)

Wenn die Daten ja durch diese Aktion jetzt geschützt wurden ist’s doch okay. Lieber mal alle zurücksetzen und den Dieben ein Beinchen stellen bevor der Knall kommt.

Achim 2. März 2013 um 19:13 Uhr

Evernote schreibt, dass die Passwörter entwendet wurden. Allerdings die seitens Evernote verschlüsselten Passwörter. Wer sich also die Mühe der Entschlüsselung macht, kann mit dem Nutzernamen und dem entschlüsselten Kennwort Unfug treiben.

René Fischer 2. März 2013 um 19:25 Uhr

So eine Authentifizierung der Clients via SMS-Pin wäre auch bei Evernote langsam echt mal sinnvoll.

shad 2. März 2013 um 19:36 Uhr

Habs schon immer gesagt: Evernote ist ein Pillepalle-Dienst, bei dem Sicherheit ganz weit hinten steht.

Horst 2. März 2013 um 19:45 Uhr

Ich habe mich gewundert und dachte zuerst, es hinge mit meiner Kündigung des Premium-Zugangs zum 3.3. zusammen. Wäre ja etwas früh gewesen. Na hoffentlich macht sich keiner die Mühe, mit den Passwörtern was anzustellen.

Partyaffe 2. März 2013 um 20:12 Uhr

Sicherheit ist bei Evernote offensichtlich kein großes Thema. Passt ja nun gut ins Bild mit den entwendeten Passwörtern. Mir gefällt das immer weniger und ich wäre ja auch schon längst weg – leider fehlen mir die Alternativen. Meine Mindestanforderungen sind:

1. Online-sync mit client-seitiger Verschlüsselung
2. Android-App
3. Zugang über Website (alternativ auch App/Programm für Windows denkbar)

Dateien lade ich ohnehin keine hoch. Somit quasi wie Mega oder Wuala für Notizen. Wenn jemand etwas weiß, bitte her damit!

Andreas G. 2. März 2013 um 20:22 Uhr

Zum Glück hab ich damals für Evernote eine Wegwerfadresse von Spamgourmet benutzt.

Falls jemand Spamgourmet nicht kennt, es ist ein Dienst für Wegwerfadressen mit Weiterleitung. Man erstellt eine Adresse nach dem Muster schluesselwort.x.benutzername@spamgourmet.com. x ist dabei die maximale Anzahl an Emails die weitergeleitet werden und das Schlüsselwort (z.B. evernote) sorgt nur dafür damit man weiß wofür man die Adresse angelegt hat.

Thomas 2. März 2013 um 21:41 Uhr

Hae mal ne böse Mail an den Ever-Support geschriben und mein Konto gelöscht. Finde ich ziemlich unverschämt.

monkeyous 2. März 2013 um 21:59 Uhr

Schön zu wissen, dass Evernote die Passwörter gehasht und gesalzen speichert. Nicht wie diverse andere Dienste, die es eigentlich besser wissen müssten…

Leider erfährt man erst durch solche Vorkommnisse wie die Dienste mit sowas umgehen. Ich bin jedenfalls froh über den Umgang von Evernote mit diesem Thema.

Stphn 2. März 2013 um 22:01 Uhr

Kann mir hier mal jemand erklären, was euch genau aufregt?
Der Dienst wurde gehackt, stellt sicher, dass mit den geklauten Daten nichts angestellt werden kann (zb auf eure notes zugreifen) und gibt es unverzüglich öffentlich bekannt.. Für mich ist das ziemlich professionelles Verhalten!

@thomas: was findest du unverschämt?

Und was soll das ganze “Sicherheit” aufgeschreie? Man kann einfach keinen 100%igen Schutz vor Hackerattacken gewährleisten. Habt ihr in letzter Zeit keine news gelesen, wo auch über Angriffe auf Microsoft etc die rede ist?

Klar, Evernote wäre vielleicht besser, wenn die Daten clientseitig verschlüsselt würden, aber afaik gibt es so einen Dienst nicht.. Und schon garnicht einen so hoch integrierten dienst wie Evernote..

Ich benutze Evernote zwar erst seit Anfang des Jahres so richtig produktiv, aber weiß es jetzt schon zu schätzen und werde auch nicht aufhören es zu nutzen..

sYndrom 3. März 2013 um 01:04 Uhr

Passwort geändert, Konto gelöscht.

shad 3. März 2013 um 09:52 Uhr

@sYndrom: Dito!

@Stphn: Und wieder voll ins Fettnäpfchen gesprungen. Was das “Sicherheit”-Aufgeschreie soll? Nun, man hätte vielleicht bei einem Dienst von der Größe, wie Evernote einer ist einfach mehr Erwartungen in Hinblick auf Sicherheit und Datenschutz. Aber wenn man dann so etwas auf der Website liest, dann kriegt man doch das Kotzen:

“Wir würden in Zukunft gerne stärkere Verschlüsselung anbieten. Dazu brauchen wir allerdings mehr Mitarbeiter, um den langwierigen Export-Kampf zu führen. Premium-Nutzer können momentan externe Verschlüsselungslösungen zur Verschlüsselung wichtiger Dateien nutzen und diese dann verschlüsselt an Evernote senden.”

Also bitte einmal eine große Packung Mitleid für Evernote. Oder am besten Kohle, denn dafür bekommt man ja anscheinen mehr Sicherheit. Lächerlich, einem solchen Dienst wichtige oder gar sensible Daten anzuvertrauen.

Und mit der Aussage über die clientseitige Verschlüsselung hast Du Dich vollständig selbst disqualifiziert. Es gibt genug Dienste, die genau das anbieten. Inklusive Durchsuchen des Datenbestandes etc. (siehe Wuala, Doo, Outbank etc.) Techniken scheint es also hierfür zu geben. Man muss nur willens sein, diese anzuwenden bzw. Kohle für die Entwicklung in die Hand zu nehmen. Und wenn es auch “nur” eine 2-Step-Verification ala Google oder Dropbox wäre, die ja vergleichsweise einfach zu implementieren wäre denke ich mal.

In diesem Sinne: viel Spaß bei der weiteren Nutzung von Evernote. Manche Menschen sind halt unbelehrbar.

@dr3do 3. März 2013 um 09:58 Uhr

@shad Und wann hat Dropbox die 2-step authentication eingeführt? Genau. BTW: Dein Rant ist IMHO vollkommen überzogen.

shad 3. März 2013 um 10:05 Uhr

@dr3do: Und warum sind andere Dienste dann nicht direkt so schlau das umzustellen, wenn man Dropbox als Beispiel hatte? Genau.

@dr3do 3. März 2013 um 10:11 Uhr

@shad Tja… kommt Zeit, kommt Umstellung. Ich weiß nicht was Evernote im Hintergrund für Umstellungsaktivitäten am fahren ist. Du etwa? Eher wohl auch nicht. Aber ich denke es geht dir eher um Frustablassen/Bashen.

shad 3. März 2013 um 10:16 Uhr

@dr3do mir geht es mitnichten um Bashen. Aber wenn was scheisse ist, dann sag ich nicht oh, das ist aber lecker Schokopudding und schnapp mir nen Löffel. Du könntest auch einfach mal lernen, andere Meinungen zu akzeptieren, statt sie in Frage zu stellen und daran rumzunörgeln. Danke.
In diesem Sinne werde ich auch weitere “Anmerkungen” von Deiner Seite nicht mehr aufgreifen.

stphn 3. März 2013 um 10:50 Uhr

@shad:
Wie gesagt, es gibt kein richtiges Pendant zu Evernote, dass richtige clientseitige Verschlüsselung anbietet und genauso hoch integriert ist, wie Evernote. Die Dienste die du genannt hast (Wuala, Doo, Outbank, ..) sind alles keine Dienste wie Evernote: Wuala = Onlinespeicher, Doo = Dokumentenverwaltung, Outbank = Banking-App(?). Was bringt mir das? Evernote ist all das nicht. Evernote ist kein Onlinespeicher, Evernote ist keine Dokumentenverwaltung (zugegeben, man könnte Evernote dafür nutzen) und Evernote ist schon garkeine Banking-App. Evernote ist eine Ablagestelle, für alles, was dir im Kopf rumschwirrt, für jede Idee, für jeden Gedanken. Es ist eine Ablagestelle für alles Interessante, was du findest, sei es im Netz oder im wirklichen Leben, damit du dich später wieder daran erinnern kannst, etc. Das ist das Prinzip von Evernote..
Nicht das, wofür manche Leute es missbrauchen: Dokumentenverwaltung, speichern sensibler Kontodaten, Ablage von Rechnungen, etc. pp.
Und keiner ist so hoch integriert: Windows/Linux/Mac App, iOS App, Android App, Web App, Chrome Apps, in anderen Diensten nutzbar, etc. Evernote hat eine Infrastruktur aufgebaut, die kein anderer Dienst bieten kann.

Jeder ist selbst dafür veranwortlich, was er mit so einem Dienst anstellt. Wenn also jemand sensible Daten auf Evernote speichert, muss er sich auch den eventuellen Konsequenzen bewusst sein und nicht blind einem x-beliebigen Dienst vertrauen.
Wer selbst bei Wuala oder z.B. Mega sensible Daten speichert, ohne sie vorher selbst zu verschlüsselen, ist IMHO selbst Schuld falls seine Daten bei einer Hackerattacke geklaut werden.

Zugegeben, 2-Step-Verification ist schon lange etwas, was ich mir für Evernote wünsche, aber das heißt nicht, dass Evernote einen schelchten Job in Sachen Sicherheit macht. Relativ wenige Dienste bieten eine 2-Step-Verification an und wie ich bereits sagte, man kann keinen hundertprozentigen Hackerschutz implementieren. Ich finde der Fakt, dass außer Benutzername, E-Mail und hashed-and-salted Passwort nichts gestolen wurde, spricht für ein gutes aber verbesserungswürdiges Sicherheitskonzept.
Was mich aber am meisten bei Evernote bleiben lässt, ist der offene Umgang mit diesem Thema.
Schlimmer finde ich dagegen z.B. Firmen wie Groupon, bei denen man durch SPAM E-Mails bemerkt, dass sie entweder gehackt wurden oder die Kundendaten verkauft haben.

Würdest du bitte den Link zu deinem Zitat posten? Ich kann das Zitat nirgends auf Evernote.com finden.
Aber wie das Zitat schon selbst sagt: “externe Verschlüsselungslösungen”. Nicht Evernote verlangt es, dass du ein Premium-Nutzer bist, sondern die externe App, die deine Notes verschlüsselt.

Und zu letzt noch etwas zu diesem Satz:
“Also bitte einmal eine große Packung Mitleid für Evernote. Oder am besten Kohle, denn dafür bekommt man ja anscheinen mehr Sicherheit. ”

Bei sowas bekomme ICH das kotzen. Hauptsache alles umsonst nutzen und keine Gegenleistung erbringen oder was?!
Mit was für einem Verständnis der Welt lebst du eigentlich dein Leben? Gehörtst du auch zu diesen Sozialschmarotzern die vom Staat schön Hartz IV kassieren ohne je einen Finger in einem Beruf gerührt zu haben?

Aber für dich ist das schöne an Evernote ja, dass es ein Freemium-Dienst ist, d.h. selbst als Free-Nutzer bekommst du 95% aller von Evernote selbst angebotenen Services und dafür solltest du dankbar sein; das ist kein Model was jede erfolgreiche Firma vertreten würde!
AFAIK bekommt man nur kleine Perks wie z.B. größere Uploads und Notes History wenn man Premiumkunde ist.
Das Prinzip dieses Freemium-Konzepts ist es ja, dass man der Firma freiwillig Geld zahlt, weil sie so einen guten Dienst leisten und man ihnen etwas zurückgeben möchte und nicht, weil man zusätzliche Funktionalität nutzen möchte.

vincenzolandi 3. März 2013 um 10:56 Uhr

Und ich dachte ich habe mein Password vergessen, war kurz davor mich im Altersheim einzuweisen. :D Na ja, die Evernote Entwickler sind auch nur Menschen…

Christian 3. März 2013 um 11:17 Uhr

@Michael: “Und warum muss ich sowas aus einem Blog erfahren und nicht vom Betreiber?”
Zum einen sollte es stutzig machen, wenn man beim Starten von Evernote darauf hingewiesen wird, dass das Passwort zurückgesetzt wurde. Das war bei mir irgendwann gestern der Fall. Außerdem hat Evernote die Kunden per Mail informiert (kam bei mir heute gegen 9.30 h an). Ob die dabei Unterschiede zwischen zahlenden und anderen Usern machen, weiß ich nicht.

rezwiebel 3. März 2013 um 11:17 Uhr

Ahhhh. Der Update Hinweis der Android App von @dr3do hat geholfen. Danke dafür, sonst wäre ich beinahe verzweifelt bei der Suche nach dem “Passwort Ändern”…

@dr3do 3. März 2013 um 11:19 Uhr

@rezwiebel Gerne. (Ich war gestern vorschnell mit dem “logout” und musste dann “büßen”, da ich eben alles erneut runterladen/syncen musste – sind ein paar GB. #kchchch)

@stphn Gute Zusammenfassung, full ACK.

Carolin 3. März 2013 um 16:08 Uhr

Na Prima. Die E-Mailadresse mit der ich mich bei Evernote registriert hatte damals existiert nicht mehr, weil ich sie gelöscht habe und natürlich nicht dran gedacht hab. Und jetzt bekomm ich kein neues Passwort weil E-Mails damit bei mir nicht ankommen. Und Einloggen zum ändern kann ich mich ja auch nicht mehr. Nicht so toll. Was mach ich denn jetzt? Jemand eine Idee? :/

Phadda 3. März 2013 um 16:17 Uhr

Hmm was ist mit deaktivierten Konten?

shad 3. März 2013 um 16:27 Uhr

@stphn: Das Zitat findest Du unter https://de.support.evernote.com/link/portal/16051/16076/Article/2015/Welche-Verschl-sselung-verwendet-Evernote

Zum Thema genannte Dienste: die sollen als Beispiel dafür dienen, dass es möglich ist, Dienste – egal welcher Art – mit einer entsprechenden Verschlüsselung zu versehen.

Zum Thema Hartz IV: Über solche Anfeindungen kann ich nur lachen. Sofern ich Dienste gut finde, bin ich auch gerne bereit, dafür in die Tasche zu greifen im Gegensatz zu vielen anderen.

So bin ich zahlender User bei Spotify, Lovefilm und Co (nicht in den kleinsten Abos) und habe im Gegensatz zu vielen Billigheimern auch einen 50€/Monat Handyvertrag laufen. Also wenn Du mit sowas einem ans Bein pissen willst, dann such Dir jemanden, bei dem Du mit so einer Unterstellung auch ins Schwarze triffst.

Und im Gegensatz zu diesem Schmarotzerpack von dem Du da sprichst (zu dem Du gehörst?) geh ich tagtäglich arbeiten, um mir solche Dinge leisten zu können.

Und jetzt geh spielen.

stphn 3. März 2013 um 19:24 Uhr

@Carloin:
Brauchst die E-Mail Adresse mit der du dich registriert hattest nicht. Einfach auf der Web-Oberfläche von Evernote (https://www.evernote.com/Home.action) mit deinem bisherigen Passwort anmelden und du kannst sofort ein anderes Passwort vergeben.

chrstn 4. März 2013 um 20:31 Uhr

Ich gehe davon aus, in dem Zitat ist gemeint, dass Evernote nur von Premium-Kunden andere (verschlüsselte) Dateitypen annimmt. Im Basispaket waren ja nur ein paar Dokumenttypen erlaubt, wenn ich mich recht erinnere.

Matthias 5. März 2013 um 20:55 Uhr

Ich lese gerade irgendwo in den englischen Tiefen des Webs, dass Evernote noch dieses Jahr die 2-factor-authorization einführen will. Für mich eigentlich unverständlich, dies erst jetzt anzugehen, wenn es einen wirklich erwischt hat…

Herby H. 5. März 2013 um 22:43 Uhr

Evernote hat gerade bekanntgegeben, dass es die Einführung der Zwei-Stufen-Authentifizierung plant: http://www.informationweek.com/security/management/evernote-were-adding-two-factor-authenti/240150023


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.